Поддержка групповых управляемых учетных записей службSupport for group managed service accounts

Operations Manager 2019 UR1 и более поздних версий поддерживает групповые управляемые учетные записи служб (gMSA).Operations Manager 2019 UR1 and later supports group managed service accounts (gMSA). В этой статье описываются учетные записи, используемые для gMSA, и процедуры, связанные с поддержкой этой функции.This article details the accounts used for gMSA, and the procedures involved with gMSA support.

Примечание

Эта статья применима к Operations Manager 2019 UR1 и более поздних версий.This article is applicable for Operations Manager 2019 UR1 and later. Статья содержит сведения о том, как использовать gMSA в Operations Manager, однако не содержит сведений о том, как их создать.The article provides information on how to use gMSA in operations manager, does not include information on how to create these. Сведения о создании учетных записей gMSA см. в разделе Group Managed Service Accounts Overview (Общие сведения о групповых управляемых учетных записях службы).For information on how to create gMSA accounts, see gMSA accounts.

Учетные записи, используемые в gMSAAccounts used for gMSA

В настоящее время Operations Manager использует следующие учетные записи и службы.Currently, Operations Manager uses the following accounts and services :

  • Учетные записи действияAction Accounts
    • Учетная запись действия по умолчанию — учетная запись действия сервера управленияDefault Action account-management server Action account
    • Учетная запись действия агентаAgent Action account
    • Учетная запись действия GW-сервераGW Server Action account
    • Учетные записи запуска от имениRun as accounts
  • System Center Configuration Service и служба System Center Data Access (должны входить в состав локальной группы администраторов).System Center Configuration Service and System Center Data Access Service (needs to be a part of local administrators group)
  • Учетная запись чтения данных (для SSRS) должна входить в состав группы администраторов безопасности отчетов Operations Manager.Data Reader account (for SSRS), must be a member of Operations Manager Report Security Administrators group.
  • Учетная запись для записи в хранилище данных (для DW) должна входить в состав группы администраторов безопасности отчетов Operations Manager.Data Warehouse Write account (for DW), must be a member of Operations Manager Report Security Administrators group.
  • Учетная запись установки агентаAgent Installation account
    • Для MSAA на целевых компьютерах по умолчанию требуются права администратора.MSAA by default, needs admin rights on the target computers.

Чтобы использовать gMSA, администраторы должны выполнить следующие действия.To leverage gMSA, administrators need to do the following:

Проверка возможности использования на компьютере управляемых учетных записей службVerify if managed service accounts can be used on the computer

Воспользуйтесь следующей командой PowerShell для каждой учетной записи gMSA.Run the following PowerShell command for each gMSA account. Если она возвращает true, то gMSA можно использовать на выбранном сервере управления.If it returns True, then gMSA is ready to be used on the management server you selected.

Test-ADServiceAccount \<gMSA\_name\>

Дальнейшие действияNext steps

Чтобы использовать gMSA, выполните следующие действия.To use gMSA, do the following:

Предоставление прав безопасностиProvide security rights

Change databases (Изменение баз данных)Change databases

Service level changes (Изменения учетной записи на уровне обслуживания)Service level account changes

Изменения на уровне консолиConsole level changes